El ciberpulso del mundo durante la pandemia.

Una de las preguntas más frecuentes que me hacen en estos tiempos difíciles es cómo ha cambiado la situación ciberepidemiológica. ¿Cómo se ha visto afectada la ciberseguridad en general por el cambio masivo hacia el teletrabajo (o para aquellos que, desgraciadamente, no pueden teletrabajar pero que también han tenido que estar en casa todo el tiempo)? Y, más en concreto, ¿qué nuevos y astutos trucos han inventado los ciberdelincuentes y qué cómo mantenerse protegidos contra ellos?

Por tanto, me he decidido a resumirlo todo en este artículo.

Como es habitual, los delincuentes, incluidos los ciberdelincuentes, analizan de cerca a su víctima y luego se adaptan a las condiciones cambiantes para maximizar sus ingresos criminales. Entonces, cuando la mayoría del mundo cambia de repente y se ve obligado a permanecer en casa (teletrabajo, ocio doméstico, compras desde casa, interacción social en casa, etc.), el ciberdelincuente también cambia sus tácticas a modo de respuesta.

Los ciberdelincuentes se han dado cuento de algo muy importante: la mayoría de las personas que permanecen encerradas ha aumentado considerablemente el tiempo que dedican a Internet. Esto supone una “superficie de ataque” general más amplia para sus actos delictivos.

Lamentablemente, muchas empresas no brindan una ciberprotección de confianza y calidad a esos empleados que ahora se ven obligados a trabajar desde casa. Esto supone muchas más oportunidades alentadoras para los ciberdelincuentes de atacar las redes corporativas a las que los empleados están conectados.

Y, por supuesto, los malos atacan. Esto lo evidencia el fuerte aumento de los ataques de fuerza bruta en servidores de bases de datos y RDP (tecnología que permite, por ejemplo, que un empleado obtenga acceso completo a su ordenador de trabajo: sus archivos, el escritorio y básicamente todo desde casa o cualquier otro lugar).

Ordenadores únicos afectados por ataques de fuerza bruta, de enero a abril del 2020

Seguir leyendo:El ciberpulso del mundo durante la pandemia.

¡Los cajeros automáticos peligrosos también deberían estar en cuarentena!

Cada año, acompañado por mis compañeros de viaje, suelo tomar más de cien vuelos por todo el mundo. Y ahora prácticamente pagamos en todas partes con la tarjeta o el teléfono, y la mayoría de las veces sin contacto como Apple o Google Pay. En China, incluso puedes pagar a través de WeChat cuando estás en el mercado comprando frutas y verduras a las abuelas. Y el famoso biovirus ha hecho aún más popular el uso del dinero virtual.

Sin embargo, en Hong Kong, tienes que pagar tu taxi en efectivo, ¡siempre! En Frankfurt, el año pasado en dos restaurantes diferentes tuve que pagar en efectivo. ¡Uf! Nos costó bastante encontrar un cajero automático para sacar dinero, tiempo que podríamos haber disfrutado tomando un brandy tras la cena. ¡Qué crueldad! 🙂 De todos modos, todo esto demuestra que, a pesar de que existen sistemas de pago progresivos en todo el mundo, todavía existe la necesidad de un buen cajero automático y parece que esta necesidad no se esfumará pronto.

Entonces, ¿a dónde quiero llegar? ¡Por supuesto, hablo de ciberseguridad!

Cajeros automáticos = dinero ⇒ Han sido atacados, están siendo atacados y continuarán siendo atacados, y aún más. De hecho, estos ataques están empeorando: la investigación muestra cómo entre el 2017 y el 2019 el número de cajeros automáticos atacados por malware aumentó más del doble (en un factor de aproximadamente 2,5).

Pregunta: ¿Se puede monitorear constantemente el interior y el exterior de un cajero automático? “Seguramente sí”, esa habrá sido tu respuesta. Pero la realidad nos dice lo contrario…

Sigue habiendo muchos cajeros automáticos en las calles, tiendas, pasos a desnivel o estaciones de metro con una conexión muy lenta. Apenas tienen suficiente banda ancha para gestionar transacciones; por lo que difícilmente se ponen a vigilar también lo que sucede a su alrededor.

Entonces, dada esta falta de supervisión debida a la conexión de red, intervenimos para llenar este vacío y elevar el nivel de seguridad de los cajeros automáticos. Aplicamos las mejores prácticas de optimización (en las que somos unos expertos, con 25 años de experiencia) y también redujimos radicalmente la cantidad de

que necesita nuestra “inyección de inoculación” específica contra las amenazas sobre cajeros automáticos: Kaspersky Embedded Systems Security, también conocido como KESS .

Quédate con esto: el requisito mínimo de velocidad de una conexión a Internet para nuestro KESS es de… 56 kilobits por segundo. ¡Esa era la velocidad de mi módem de acceso telefónico en 1998!

Solo por comparar, la velocidad media del Internet 4G hoy en día en los países desarrollados es de entre 30.000 y 120.000 kilobits por segundo. Y el 5G promete más de 100 millones de kbps (cientos de gigabits) (bueno, siempre y cuando no destruyan todos los mástiles de telefonía antes). Pero no permitas que las velocidades prehistóricas de Internet te engañen: la protección no podría ser mejor. De hecho, muchos directores podrían aprender una o dos cosas de nosotros sobre cómo optimizar sin perder la de calidad.

Seguir leyendo:¡Los cajeros automáticos peligrosos también deberían estar en cuarentena!

Album de fotos de Flickr

  • Sochi / Sep 2020
  • Sochi / Sep 2020
  • Sochi / Sep 2020
  • Sochi / Sep 2020

Instagram

El ciberpasado, primera parte: 1989-1991

Después de haber escrito hace poco una publicación sobre nuestro continuo Top-3 en pruebas independientes, me sentí un poco nostálgico por el pasado. Poco después dio la casualidad de que se celebró el vigésimo aniversario del virus gusano ILOVEYOU: ¡más nostalgia y otra publicación! Pero por qué parar ahí, pensé. No es que haya mucho más que hacer, así que, ¡voy a seguir! Por lo tanto, voy a continuar con estas entregas de nostalgia Kaspersky, principalmente en un orden aleatorio según se ve vaya ocurriendo…

En primer lugar, debemos rebobinar (en un reproductor de casetes de los 80) hasta finales de los 80, cuando Kaspersky era simplemente mi apellido.

Primera parte, prehistoria: 1989-1991

Tradicionalmente considero octubre de 1989 como el año en el que tomé los primeros pasos reales hacia lo que resultó ser mi carrera profesional. Descubrí Cascade (Cascade.1704) en un Olivetti M24 (CGA, 20M HDD) en los archivos ejecutables que había logrado infiltrar este virus y lo neutralicé.

La narración generalmente pasa por alto el hecho de que el segundo virus no fue descubierto por mí (fuera de nuestro equipo) sino por Alexander Ivakhin. Pero después de eso, comenzamos a “analizar” las firmas de los virus utilizando nuestra herramienta antivirus (no puedo llamarlo “producto”) con regularidad. Los virus aparecerían cada vez con más frecuencia (es decir, ¡unos pocos al mes!), los desarmaba, analizaba, clasificaba e introducía los datos en el antivirus.

Pero los virus seguían llegando, unos nuevos que masticaban y escupían ordenadores sin piedad. ¡Necesitaban protección! Todo esto fue en la época del glásnost, la Perestroika, la democratización, las cooperativas, los videograbadores VHS, los walkmans, unos peinados cuestionables, unos suéteres peores aún y también los primeros ordenadores domésticos. Y el destino quiso que un compañero mío fuera el jefe de una de las primeras cooperativas de ordenadores, así que yo mismo me invité a ir y a comenzar a exterminar virus.

Seguir leyendo:El ciberpasado, primera parte: 1989-1991

Introduce tu dirección de e-mail para suscribirte a este blog

Cómo alcanzamos el Top3: transparentes, para quien lo quiera ver.

Puedes pensar que fue cosa de suerte (de estar en el lugar correcto y en el momento adecuado) que nos fuera tan bien a la hora de formar la empresa y que acabáramos convirtiéndonos en el proveedor líder mundial de ciberseguridad. Pero ¡te equivocas! Permíteme que te cuente una historia …

En realidad, entonces, justo en los comienzos de nuestro antivirus, me propuse nos propusimos un objetivo. Un objetivo realmente ambicioso.

Lo recuerdo como si fuera ayer. Mi amigo de toda la vida, Alexey De Mont De Rique, y yo nos encontrábamos en una parada de tranvía no muy lejos de la estación de metro Sokol en Moscú allá por 1992, cuando trabajábamos entre 12 o 14 horas al día (“Papá está trabajando” o eso decían mis hijos todo el rato). Le propuse a Alexey que necesitábamos “establecernos un objetivo”. Su respuesta fue algo como: “Vale. ¿Qué objetivo en concreto? ¿Realmente crees que necesitamos establecer uno? ¿Cuánto deberíamos insistir para lograrlo?”. Sí, algo así dijo. Y mi respuesta fue: “¡Nuestro objetivo debería ser fabricar el mejor antivirus del mundo!”. Alexey se echó a reír, pero no lo descartó. Y así es cómo emprendimos nuestro viaje hacia la meta, trabajando duro muy duro y siempre con el objetivo final en la cabeza. ¡Y funcionó!…

Pero ¿cómo exactamente?

Como ya te he dicho: con mucho trabajo y con ingenio y la habilidad para sobrevivir y prosperar en aquellos tiempos tan complicados en Rusia (la situación a principios de los 90 en Rusia: el derrumbe de la Unión Soviética y su economía dirigida, las luchas por cambiar “de inmediato” a una economía de mercado, la inflación, el desempleo, la anarquía…). Trabajábamos sin descanso. Detecté nuevos virus; Alexey codificó la interfaz de usuarios y el editor de bases de datos de antivirus, Vadim Bogdanov (Jedi de la Asamblea), utilizó la Fuerza para reunir diversas herramientas informáticas para lo que yo estaba haciendo. Sí, como estás leyendo, ¡a principios de los 90 solo éramos tres! Después fuimos, cuatro, luego cinco, luego…

¿Te acuerdas de cómo he empezado este artículo diciendo que nuestro éxito no se debía a haber estado en el lugar correcto y en el tiempo adecuado? Bueno, lo cierto es que sí que tuvimos algo de suerte: en 1994 tuvieron lugar los primeros “Juegos Olímpicos de los Antivurs”, una serie de pruebas independientes sobre software de seguridad en la Universidad de Hamburgo. Evidentemente, tuvimos suerte de que este evento tuviera lugar, pero ¡no fue la suerte la que nos hizo ganar!

Oh, sí. Nos llevamos el oro (una tendencia que sigue con nosotros hasta el día de hoy, como os contaré a continuación). Por lo que sí, desde casi el primer momento hemos obtenido los mejores resultados en Hamburgo. Y nos resultó tan atractivo que continuamos obteniendo oros en otras pruebas independientes que se establecieron en esa época. ¡Hurra!

Seguir leyendo:Cómo alcanzamos el Top3: transparentes, para quien lo quiera ver.

El monopolio de Apple: ¡es hora de daros la palabra!

Luchar contra las injusticias es lo que hacemos. Y eso incluye luchar contra injusticias a gran escala y de mayor importancia.

Por ejemplo, en el 2017, conseguimos llegar a un acuerdo con Microsoft para que dejaran de proporcionar ventajas desleales a su propio producto antivirus. Está claro que Microsoft es el Goliat de esta era, pero nosotros somos David. No nos queda otra. Alguien tiene que enfrentarse a los gigantes siempre que intenten mostrar su supremacía de forma injusta. Si no lo hiciéramos, los usuarios tendrían muchas menos opciones.

Por ello el año pasado nos volvimos a poner los guantes de boxeo para otra disputa: de nuevo un asunto de antimonopolio, pero esta vez con otro Goliat: Apple. Si avanzamos un año, tengo dos cosas que compartir sobre esto…

Pero primero, un pequeño recordatorio.

El principio: los buenos tiempos…

En el 2008, respaldado por el éxito de sus iPhone, Apple abrió su App Store. Y, para llenar sus filas, invitó a desarrolladores independientes a utilizarlo como una plataforma para vender su software en iOS. Estos desarrolladores independientes aceptaron y trajeron consigo miles de aplicaciones (de esto hace 12 años, ahora hay millones). Los usuarios de todo el mundo estaban satisfechos y Apple y los desarrolladores independientes sacaban sus ganancias. Todo era paz y harmonía, y parecía que vivirían felices para siempre.

Seguir leyendo:El monopolio de Apple: ¡es hora de daros la palabra!

NOTICIAS DE CIBERSEGURIDAD: Oye, ¿quién ha dicho que puedes vender mis datos?

El 28 de enero es el cumple de mi tía Olga y resulta que también es el Día de la privacidad de la información. Pero a mi tía eso no le preocupa, aunque debería, ya que los datos digitales son la moneda de cambio del nuevo milenio. La acumulación de miles de clic y transacciones son una mina de oro para cualquier empresa. De hecho, muchas de las empresas multimillonarias se basan en la venta de estos recursos cibernéticos.

Las empresas informáticas internacionales cuentan con más información a datos personales que los propios países. De ahí la importancia de este tema.

Y, ya sabes, donde hay dinero, hay tipos malos. Los ciberdelincuentes que intentan interceptar datos siguen multiplicándose. Pero incluso las empresas más respetables podrían estar dándole un mal uso a tus datos y parece que consiguen hacerse con la suya, al menos en la mayoría de los casos. Pero ya hablaremos sobre eso más adelante…

Ahora me gustaría hacerte una pregunta muy sencilla a la que todavía no se ha encontrado respuesta, al menos en el mundo de las empresas informáticas internacionales: “¿Qué es bueno y qué es malo?”, es decir: ¿dónde está la línea entre la ética humana universal y la ética empresarial? ¿Dónde está esa fina línea?

Por desgracia, la pregunta de la ciberética y la cibermoral es muy ambigua. Pero, mientras, puedo asegurar que con la introducción del 5G y el aumento del número de dispositivos del IdC, nuestros datos se recopilarán aún más. Y más…

Seguir leyendo:NOTICIAS DE CIBERSEGURIDAD: Oye, ¿quién ha dicho que puedes vender mis datos?

Noticias de ciberseguridad: ¿Y si Aramco tuviera nuestro Antidrone? ¿Podrían los honeypots frenar el malware en el IdC?

¡Hola a todos!

Hace poco salió a la luz una información digna de la sección Noticias de ciberseguridad desde el lado oscuro. Seguro que has escuchado algo sobre el asunto, ya que ha invadido los titulares de los últimos días. Se trata de un ataque de drones en Saudi Aramco que ha destruido millones de barriles de petróleo crudo al día y que ha causado pérdidas de cientos de millones de dólares.

Por desgracia, me temo que esto no es más que el principio. ¿Recuerdas aquellos drones que paralizaron Heathrow hace unos meses? ¿O era Gatwick? Bueno, es una progresión natural. Habrá mucho más, eso seguro. En Arabia Saudí, los hutíes reivindican la autoría, pero tanto Arabia Saudí como Estados Unidos culpan a Irán, que niega toda responsabilidad. En resumen, los enfrentamientos típicos de Oriente Medio. Pero no quiero hablar de eso aquí (no hablamos de geopolítica aquí, ¿recuerdas?). Lo que me gustaría decir es que, mientras las acusaciones continúan, nosotros hemos dado con una solución que evita los ataques de drones como este que ha sufrido Aramco. Por tanto, señoras y señores, ¡hoy presento al mundo el nuevo Antidrone!

Pero ¿cómo funciona?

El dispositivo calcula las coordenadas de un objeto en movimiento, una red neuronal determina si se trata de un dron y, en ese caso, bloquea la conexión entre él y su piloto en remoto. Como consecuencia, el dron vuelve al lugar de su lanzamiento o aterriza justo debajo de donde ha sido interceptado. El sistema puede estar parado o en movimiento, por ejemplo, para su instalación en un vehículo de motor.

El objetivo principal de nuestro Antidrone es la protección de infraestructuras importantes, aeropuertos, objetos industriales, etc. El incidente de Saudi Aramco recalca la necesidad de esta tecnología para la prevención de casos similares: en el 2018 el mercado mundial de drones se estimó en 14 mil millones de dólares, para el 2024 la predicción es de 43 mil millones de dólares.

Evidentemente, el mercado de la protección contra los drones maliciosos también crecerá. No obstante, por ahora nuestro Antidrone es el único del mercado ruso que puede detectar objetos mediante vídeo utilizando redes neurales y el primero en el mundo en utilizar el análisis láser para rastrear la ubicación de los drones.

Seguir leyendo:Noticias de ciberseguridad: ¿Y si Aramco tuviera nuestro Antidrone? ¿Podrían los honeypots frenar el malware en el IdC?

Si me hubieran dado dinero cada vez que he escuchado esta pregunta en 30 años…

¡Hola a todos!

¿Os imagináis cuál es la pregunta que más me hacen en las entrevistas y conferencias de prensa?

Todo comenzó en los 90 y pronto se convirtió en la pregunta más temida, era casi imposible resistirse a poner los ojos en blanco, pero lo conseguí. Con el tiempo me resigné y acepté que para ellos resultaba inevitable, por lo que comencé a improvisar y añadir información adicional a mis respuestas. Todavía hoy, a pesar de que mis declaraciones se han publicado y emitido en los medios de todo el mundo (y más de una vez), me siguen preguntando lo mismo. Ahora ya parece que el círculo se ha cerrado y cuando me preguntan me gusta recordar aquellos días.

¿La habéis adivinado ya?

La pregunta es: “¿Cuál fue el primer virus que descubriste?” (además de las preguntas relacionadas: cuándo lo encontraste, cómo pudiste curar el ordenador infectado, etc.).

Evidentemente, se trata de una pregunta importante, ya que, si no hubiera infectado mi ordenador hace años, es probable que mi carrera no hubiera experimentado un cambio drástico: no hubiera creado el mejor antivirus del mundo, ni hubiera fundado una de las empresas privadas más importantes de la ciberseguridad, entre otras muchas cosas. Por tanto, sí, ese virus juega un papel fundamental, pues fue uno de los propulsores de todo lo que vino después: mil millones de sus “descendientes” y, después, las ciberamenazas, la guerra informática, el ciberespionaje y todos los ciberdelincuentes que hay detrás de todo esto, en todo el mundo.

Entonces, ¿cuál es la respuesta?

El nombre del virus era Cascade.

Pero ¿a qué viene toda esta nostalgia repentina con Cascade?

Seguir leyendo:Si me hubieran dado dinero cada vez que he escuchado esta pregunta en 30 años…

Threat Intelligence Portal: Hay que profundizar más

Entiendo perfectamente que para el 95 % de los lectores, esta publicación no va a resultar útil. Pero, al 5 % restante le puede simplificar su semana laboral (y muchas semanas laborales más). Es decir, tenemos buenas noticias para los expertos en ciberseguridad (equipos SOC, investigadores independientes y aficionados a la tecnología): las herramientas que usan nuestros pájaros carpinteros y el equipo de GReAT en su rutina para seguir generando la mejor investigación de amenazas cibernéticas del mundo ya está disponible para todos y gratis, con la versión lite de nuestro Threat Intelligence Portal, también llamado TIP para acortar. No te pierdas sus características.

El Threat Intelligence Portal resuelve dos problemas principales de los expertos de ciberseguridad. En primer lugar: “¿Cuál de estos cientos de archivos sospechosos debería elegir primero?” y, segundo, “Vale, mi antivirus dice que el archivo está limpio, ¿qué es lo próximo?”.

Lanzamos una versión gratuita del Kaspersky Threat Intelligence Portal

 

A diferencia de los “clásicos” (la seguridad para endpoint), aquellos productos de calidad que devuelven un veredicto conciso sobre la peligrosidad del objeto, las herramientas de analítica incorporadas en el Threat Intelligence Portal ofrecen información detallada sobre el carácter sospechoso de un archivo y en qué aspectos específicos. Y no solo los archivos. Hashes, direcciones IP y URL también pueden analizarse. Nuestra nube analiza rápidamente todos estos artículos y los resultados de cada uno vuelven en bandeja de plata: qué tienen de malo (en caso de que lo sean), con qué frecuencia se produce la infección, a qué amenazas se asemejan aún en remoto, qué herramientas se usaron para crearlo, etc. Además, los archivos se ejecutan en nuestra sandbox de la nube patentada, estando los resultados disponibles en un par de minutos.

Seguir leyendo:Threat Intelligence Portal: Hay que profundizar más

Una trampa irresistible para el malware

No he visto la sexta entrega de la película Misión Imposible, ni creo que la vea. Vi la quinta entrega (en estado zombi durante un largo vuelo a casa después de una semana dura de trabajo) solamente porque una escena se había filmado en nuestra nueva y flamante oficina de Londres. Se trataba de otra entrega más de Misión Imposible, una película que no es para nada de mi estilo. Bofetadas, disparos, golpes, choques, explosiones, conmoción. Uf. Yo prefiero algo más desafiante, intelectualmente estimulante y sencillamente interesante. Después de todo, mi tiempo es escaso y valioso.

Parece que estoy despotricando contra Tom Cruise y compañía, ¿verdad? Pero no es así. De hecho, tengo que reconocer el mérito de al menos una escena que está muy bien hecha (es decir, que resulta intelectualmente estimulante y sencillamente interesante). Se trata de la parte en la que los buenos necesitan que uno de los malos delate a sus secuaces, o algo parecido. Para ello, instalaron un ambiente falso en un “hospital” con la “CNN” en la “televisión” informando sobre el Armagedón nuclear. Satisfecho por la transmisión mundial de su manifiesto apocalíptico, el villano entrega a sus secuaces (¿o era un código de inicio de sesión?) como parte del trato realizado con sus interrogadores. Disculpad, aquí está la secuencia.

¿Por qué me gusta tanto esta escena? ¡Pues porque ilustra muy bien uno de los métodos para detectar ciberamenazas desconocidas! De hecho, existen muchos métodos, que varían según el área de aplicación, la efectividad, el uso de recursos y otros parámetros (escribo mucho sobre esto aquí). Pero hay uno que siempre destaca: la emulación (también he hablado mucho de ella aquí).

Al igual que en la película MI, un emulador inicia el objeto investigado en un ambiente artificial aislado, de esta forma lo anima a revelar su carácter malicioso.

Pero esta estrategia presenta una gran desventaja: el hecho de que el ambiente sea artificial. El emulador se esfuerza para que ese entorno artificial parezca un sistema operativo real, pero el malware, cada vez más inteligente, consigue diferenciarlo de un entorno real. Cuando el emulador se percata de que el malware lo ha reconocido, se reagrupa y mejora su emulación, y así sucesivamente en un ciclo interminable que a menudo abre la ventana a una posible vulnerabilidad en un ordenador protegido. El problema principal es que ningún emulador ha podido retratar la viva imagen de un sistema operativo real.

Por otra parte, existe otra opción para abordar el análisis de comportamiento de los objetos sospechosos: analizarlo (en un sistema operativo real) dentro de una máquina virtual. Y bueno, ¿por qué no? Si el emulador no lo detiene por completo, ¡deja que lo intente una máquina (real) virtual! Sería el “interrogatorio” ideal: se lleva a cabo en un ambiente real, no artificial, pero sin las consecuencias negativas.

Seguir leyendo:Una trampa irresistible para el malware